El móvil, el arma de espionaje definitiva que llevamos en el bolsillo
El teléfono inteligente es una ventana al mundo, el problema es que otros también pueden mirar a través de ella. Las ‘ciberarmas’ de espionaje son tan comunes como peligrosas si no se regulan
Quien entre en su móvil obtendrá mucha más información sobre usted que registrando su casa. Tanto en el plano físico (ubicación en tiempo real, historial de desplazamientos, horas de sueño) como en el social (con quién se ve y durante cuánto tiempo, de qué habla, quiénes son sus amigos y su familia) o hasta en el mental (gustos, aficiones, ideas políticas). Nuestros ordenadores de bolsillo son también un punto de acceso a cualquier documento de valor (datos médicos, financieros o laborales, fotografías y vídeos personales, archivos de trabajo). Todo lo que hacemos pasa hoy por estos dispositiv...
Quien entre en su móvil obtendrá mucha más información sobre usted que registrando su casa. Tanto en el plano físico (ubicación en tiempo real, historial de desplazamientos, horas de sueño) como en el social (con quién se ve y durante cuánto tiempo, de qué habla, quiénes son sus amigos y su familia) o hasta en el mental (gustos, aficiones, ideas políticas). Nuestros ordenadores de bolsillo son también un punto de acceso a cualquier documento de valor (datos médicos, financieros o laborales, fotografías y vídeos personales, archivos de trabajo). Todo lo que hacemos pasa hoy por estos dispositivos. Por eso nos aterra que alguien los pueda husmear sin nuestro consentimiento. “Los móviles son el sueño de Stalin”, suele decir Richard Stallman, padre del software libre y leyenda en vida para muchos programadores.
Ese sueño cobra un significado pleno gracias a sofisticados programas como Pegasus, el producto estrella de la israelí NSO Group. Según ha desvelado una investigación periodística, este software de espionaje, o spyware, se ha infiltrado en el móvil de los presidentes de Francia, Emmanuel Macron, o de México, Andrés Manuel López Obrador, entre otros. En España ya era conocido por haberse colado en los móviles de algunos políticos catalanes durante el procés. El hombre más rico del mundo, Jeff Bezos, ha sido capaz de pasearse por el espacio, pero no de evitar el escrutinio de este programa.
Pegasus está diseñado para meterse en teléfonos ajenos sin que su dueño lo advierta (como troyano al clicar en un enlace o, en otras ocasiones, descargándolo sin saberlo al entrar en una web determinada) y manipularlos desde dentro. Puede hacer capturas de pantalla, transmitir los datos que contenga el aparato, alterar y modificar comunicaciones y activar el micrófono o la cámara. Todo de forma remota y sin levantar sospechas.
Un arsenal variado
Ni Pegasus es un spyware único ni NSO es la empresa que controla este negocio. ¿Qué otras herramientas hay en el mercado y de qué son capaces? Imposible saberlo por fuentes oficiales. Conscientes de ello, miembros de Privacy International, una ONG británica que vela por el uso no invasivo de la tecnología, asistieron a decenas de ferias militares celebradas en 37 países de Europa, Oriente Próximo y Asia para recoger información sobre ciberarmas directamente de los fabricantes. Para lograrlo se hicieron pasar por posibles compradores, aunque no debió ser fácil entrar en una industria tan celosa del desconocido. “No puedo hacer comentarios sobre eso”, responde educadamente Ilia Siatitsa, investigadora de la organización.
El resultado de esa labor de campo es uno de los informes más completos que hay sobre estas herramientas, con un registro en el que se detallan unos 1.500 productos distintos. Los clasifican en 11 categorías, que van desde rastreadores de ubicación o de actividad digital hasta sistemas de grabación de audio o los programas de hackeo de móviles del tipo Pegasus.
Estados Unidos, Israel, Reino Unido, Alemania e Italia son los países con más compañías en este controvertido sector, de acuerdo a los datos que maneja Privacy International, que apenas han tenido acceso a material de Rusia o China (se da por hecho que también serán importantes en este negocio). “No hay una regulación internacional que afecte a este tipo de artilugios. Se usan de forma totalmente opaca. NSO, por ejemplo, dice que solo vende a gobiernos, pero no lo podemos confirmar”, explica Siatitsa. La organización en la que trabaja lleva tiempo haciendo campaña para que se prohíban estos artilugios. Ya en 2013 reveló que un software de la firma británica Gamma Group, capaz de infiltrarse en un ordenador y monitorizar sus comunicaciones, había sido usado por los Gobiernos de Etiopía o Baréin para localizar y atacar a opositores políticos.
La falta de escrúpulos de los productores de estos sistemas está contrastada. Se sabe que Azerbaiyán, Emiratos Árabes o Arabia Saudí son consumidores habituales. Y que usan estas herramientas para perseguir y asesinar a disidentes, como demuestra el caso del periodista saudí Jamal Khashoggi.
No toda la tecnología capaz de acceder a un móvil funciona de la misma forma. “Por un lado está el software de forénsica de móviles, el que usa la policía cuando tiene que entrar en un dispositivo y no le hace falta hacerlo de forma remota, y por otro están las empresas que producen tecnología de vigilancia”, subraya Javier Ruiz, investigador de Ada Lovelace Institute de Londres. En la segunda categoría entrarían, por ejemplo, los motores de búsqueda que se dedican a hacer saltar una alarma cada vez que un internauta teclea palabras sospechosas (pornografía infantil, terrorismo, etcétera). En un tercer peldaño se sitúan programas como Pegasus, que directamente se dedican a hackear móviles.
Para lograrlo, estos sistemas aprovechan vulnerabilidades detectadas por hackers en sistemas operativos. Son los llamados exploits. Se sabe, por ejemplo, que la francesa Vupen vende exploits a agencias de inteligencia como la NSA. Los hackers más talentosos son capaces de descubrir vulnerabilidades desconocidas hasta por el propio desarrollador (zero day exploits). Su valor en el mercado negro puede alcanzar centenares de miles de dólares. Stuxnet, el ataque informático organizado por EE UU e Israel contra las centrales nucleares iraníes, usó cuatro zero day exploits.
El tsunami Snowden
Que los Estados usan la tecnología más avanzada del momento para espiar no es una novedad. Durante la Guerra Fría, los pinchazos telefónicos formaban parte de la rutina de las fuerzas de seguridad en buena parte de Europa. La sofisticación de los métodos y sobre todo la digitalización de nuestras vidas hicieron cada vez más sencillo ese trabajo. Las filtraciones de Edward Snowden de 2013 supusieron una llamada de atención mundial acerca de la magnitud y sistematización de las escuchas. “No solo evidenciaron que la NSA tenía un amplio programa de espionaje con tecnología propia, sino que lo empleaba contra sus propios aliados, como Angela Merkel”, recuerda Andrés Ortega, investigador del Real Instituto Elcano.
Los sistemas usados entonces eran más sencillos y solo permitían escuchar las conversaciones, pero su utilidad era enorme para los servicios secretos. Tanto es así que, según este analista, a los servicios de inteligencia no les interesa demasiado que se hable de lo fácil que es entrar en móviles ajenos precisamente para poder seguir haciendo su trabajo. En este juego participan también las grandes empresas, principalmente para obtener información sobre negociaciones de contratos o para espionaje industrial. “Por unos 500 dólares puedes comprar sistemas para pinchar móviles con relativa facilidad”, asegura Ortega.
Las recientes filtraciones del uso de Pegasus revelan que ni siquiera el tsunami provocado por Snowden frenó las escuchas sistemáticas. “En algunos casos, las fuerzas del orden e inteligencia deben poder recurrir a estas herramientas para entrar en los móviles de los criminales. Pero deberíamos asegurarnos de que no se usen a la ligera”, opina Diego Naranjo, asesor político de EDRI, una ONG paneuropea que trabaja por la defensa de los derechos humanos en la era digital. “Hay que desarrollar normativas internacionales potentes, como por ejemplo prohibir que las compañías puedan guardarse y vender zero day exploits”.
En España, para pinchar un móvil hace falta un permiso judicial. En otros países, como EE UU o Reino Unido, también se exige eso, aunque solo si la escucha se realiza dentro de las propias fronteras. Fuera del propio país, los controles son más laxos.
¿Quién está a salvo?
¿Hace falta recurrir a programas tan sofisticados como Pegasus para entrar en un móvil ajeno? La respuesta es no. “A un usuario medio se le puede hacer muchas cosas cuando lleva un Android, ya sea explotando alguna vulnerabilidad o mediante ingeniería social”, explica Deepak Daswani, hacker y experto en ciberseguridad. El sistema operativo de Apple, iOS, ofrece más garantías porque tiene más medidas de control sobre las aplicaciones que uno descarga.
Hay teléfonos codificados, preparados por el CNI, que son más difíciles de hackear: están cifrados de punta a punta. En España los tienen los altos cargos del Gobierno. Pero muchos ministros los dejan de usar porque se oyen mal y son más lentos, según apunta una fuente familiarizada con estos procesos. Esa búsqueda de comodidad pudo haber sido la puerta de entrada de Pegasus en uno de los teléfonos del presidente Macron.
Deshacerse del smartphone no elimina el problema: entrar en un ordenador es igual de sencillo que acceder a un móvil. Solo nos queda confiar en que se haga un correcto uso de las herramientas de vigilancia. “Igual que hay tratados para prohibir el uso de armas nucleares o bombas de racimo, creo que debería haberlos para las ciberarmas: son demasiado peligrosas para la democracia. Una empresa como NSO no debería poder existir”, reflexiona Carissa Véliz, profesora de Filosofía en la Universidad de Oxford y experta en privacidad. Hasta entonces, Stalin podrá seguir soñando con una sonrisa de oreja a oreja.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.